Jump to content

Nuestras contraseñas vulnerables


Recommended Posts

En Ars se han marcado un artículo de múltiples páginas contando cómo está el tema de nuestras claves y contraseñas hoy día. Aparentemente, el promedio es que tengamos unos veintitantos servicios de internet (foros, webmails, juegos, etc.) y que empleemos sólo unas seis contraseñas o así. Cada vez que uno de estos servicios mete la pata y les roban las listas de contraseñas, no sólo ponen en peligro nuestras cuentas ahí sino las demás que tenemos en otros sitios. No sólo eso: al conocer las contraseñas aprenden más sobre nuestros hábitos al crearlas.

 

Y, encima, estamos en un mundo en el que puedes apilar unas pocas tarjetas gráficas, meterles el programita GPGPU de turno, y ponerlas a romper contraseñas a velocidades de vértigo.

 

Why passwords have never been weaker—and crackers have never been stronger: Thanks to real-world data, the keys to your digital kingdom are under assault.

Link to post
Share on other sites

En Ars se han marcado un artículo de múltiples páginas contando cómo está el tema de nuestras claves y contraseñas hoy día. Aparentemente, el promedio es que tengamos unos veintitantos servicios de internet (foros, webmails, juegos, etc.) y que empleemos sólo unas seis contraseñas o así. Cada vez que uno de estos servicios mete la pata y les roban las listas de contraseñas, no sólo ponen en peligro nuestras cuentas ahí sino las demás que tenemos en otros sitios. No sólo eso: al conocer las contraseñas aprenden más sobre nuestros hábitos al crearlas.

 

Y, encima, estamos en un mundo en el que puedes apilar unas pocas tarjetas gráficas, meterles el programita GPGPU de turno, y ponerlas a romper contraseñas a velocidades de vértigo.

 

Why passwords have never been weaker—and crackers have never been stronger: Thanks to real-world data, the keys to your digital kingdom are under assault.

Y el problema es que hay idiotas que recomiendan que no se usen sistemas de almacenamiento de contraseñas como 1Password o el mismo "llavero" de Mac OS X, que permiten que utilices una contraseña en cada sitio y que no necesariamente sean memorizables.

Link to post
Share on other sites

Hablando del llavero: yo supongo que la principal razón por la que la gente no se atreve a soltarse el pelo con más contraseña, e inrrecordables de cabeza, es el temor a que el disco duro (y la inexistente salvaguardia :D) casque y las pierdas todas.

 

Obviamente, lo más o menos a prueba de balas sería poder imprimir todo el llavero y esconderlo bajo una baldosa :P, pero no veo ninguna función que lo permita. Vale, el programa exporta algunos formatos raretes, pero no texto mondo y lirondo… ¿Hay alguna manera de lograrlo?

 

A todo esto: estaba esta propuesta en XKCD. ¿Cómo la valoráis?

 

password_strength.png

Edited by Juan
Link to post
Share on other sites

Hablando del llavero: yo supongo que la principal razón por la que la gente no se atreve a soltarse el pelo con más contraseña, e inrrecordables de cabeza, es el temor a que el disco duro (y la inexistente salvaguardia :D) casque y las pierdas todas.

 

Obviamente, lo más o menos a prueba de balas sería poder imprimir todo el llavero y esconderlo bajo una baldosa :P, pero no veo ninguna función que lo permita. Vale, el programa exporta algunos formatos raretes, pero no texto mondo y lirondo… ¿Hay alguna manera de lograrlo?

No se por qué la peña se complica la vida...

 

timemachine.png

Link to post
Share on other sites

La gente que se preocupa y, a sabiendas, no tiene esa salvaguardia lo tiene fácil: hacerla.

No se puede tener todo: quiero seguridad , pero mi única contraseña es ch0ni81 . Y no voy a usar gestores de contraseñas, ni hacer backup, etc...

Link to post
Share on other sites

Como se te prenda fuego a la casa de poco te va a servir tener un Time Machine hecho un churrusco al lado del otro churrusco :D.

 

De todas formas sigo queriendo poder hacer una copia en archivo de texto, o impresa, de todas las contraseñas. Entre otras cosas porque esos programas suelen basarse en identificar el formulario en que se definieron, y en cuanto la web de turno decide darle un remoce es ponerse a bucear en el llavero e intentar identificar la entrada… Y por tener una solución multiplataforma.

Link to post
Share on other sites

Hablando del llavero: yo supongo que la principal razón por la que la gente no se atreve a soltarse el pelo con más contraseña, e inrrecordables de cabeza, es el temor a que el disco duro (y la inexistente salvaguardia :D) casque y las pierdas todas.

 

Obviamente, lo más o menos a prueba de balas sería poder imprimir todo el llavero y esconderlo bajo una baldosa :P, pero no veo ninguna función que lo permita. Vale, el programa exporta algunos formatos raretes, pero no texto mondo y lirondo… ¿Hay alguna manera de lograrlo?

 

Yo llevo utilizando 1Password desde hace una semana (aún en la versión de prueba de 30 días). Y aunque uso Dropbox (mezclado con algunas acciones de carpeta) para guardar copias de seguridad y hago copia de TimeMachine más o menos una vez al día, el mayor problema que veo es que no veo la manera fácil de acceder a las contraseñas desde otro ordenador.

 

Si por la razón que sea tengo que acceder al correo en el ordenador de un compañero / amigo, qué solución me dáis?

Link to post
Share on other sites

Como se te prenda fuego a la casa de poco te va a servir tener un Time Machine hecho un churrusco al lado del otro churrusco :D.

 

De todas formas sigo queriendo poder hacer una copia en archivo de texto, o impresa, de todas las contraseñas.

Claro, imagino que las copias en archivo de texto o impresas de todas las contraseñas serán ignífugas . Eso supera las copias de seguridad sin lugar a dudas.¡Y como las casas se queman, para qué hacer backup? Anda, Juan... :lol:

La gente que tiene datos realmente importantes, por cierto, no hace una copia sólo ; hace dos (como poco) y una la guarda en otra ubicación remota (en mi curro lo hacemos. Yo tengo un TM y un backup en el servidor remoto). Pero claro, si se acaba si hay una catástrofe a nivel mundial tampoco es útil. :lol:

Personalmente, en casa paso de TM, por cierto. Yo uso clones de SuperDuper. Pero eso va por gustos.

Edited by Miguimau
Link to post
Share on other sites

Hablando del llavero: yo supongo que la principal razón por la que la gente no se atreve a soltarse el pelo con más contraseña, e inrrecordables de cabeza, es el temor a que el disco duro (y la inexistente salvaguardia :D) casque y las pierdas todas.

 

Obviamente, lo más o menos a prueba de balas sería poder imprimir todo el llavero y esconderlo bajo una baldosa :P, pero no veo ninguna función que lo permita. Vale, el programa exporta algunos formatos raretes, pero no texto mondo y lirondo… ¿Hay alguna manera de lograrlo?

 

A todo esto: estaba esta propuesta en XKCD. ¿Cómo la valoráis?

 

password_strength.png

El Acceso a Llaveros las califica a las dos de excelentes, pero en la segunda la barra se llena hasta el final.

Link to post
Share on other sites

Claro, imagino que las copias en archivo de texto o impresas de todas las contraseñas serán ignífugas . Eso supera las copias de seguridad sin lugar a dudas.¡Y como las casas se queman, para qué hacer backup? Anda, Juan... :lol:

Estaba exagerando :P, pero es que lo de Time Machine no me sirve para mucho, francamente: también te puede cascar el disco de TM; los datos están en un formato propio de Apple o de la aplicación para Mac de terceros (a no ser que sea multiplataforma); y si estás delante de un equipo que no sea el tuyo… Por eso, aunque sea cargarse el Amazonas, quiero copia en papel que poder consultar rápidamente o guardar en lugar seguro, porque en última instancia su "lectura" es a prueba de balas y OSes. La mayoría de cosas para las que guarda uno contraseñas no son del ordenador sino de servicios de internet. Potencialmente te puede hacer más padre de familia numerosa perder esas contraseñas que perder el ordenador.

 

Tengo que mirar esas aplicaciones de palabras de paso, sobre todo para ver cómo proponen solucionar esos aspectos: multiplataforma y ubicuidad.

 

Yo estoy con Carbon Copy Cloner en casa, aunque hace nada su programador la ha hecho de pago para Lion y Mountain Lion (supongo que por el tema de venderla en la App Store). En el trabajo es CCcloner y Time Machine a la vez, TM haciendo más papel de seguro contra meteduras de pata que otra cosa.

Link to post
Share on other sites

Ya se que exagerabas, Juan, pero era un poco demasiado o demasiado poco. :D La superioridad de las contraseñas en papel sobre un gestor por la dificultad o pereza para hacer backup no se sostiene ni en broma. ;)

Estoy de acuerdo en lo de TM, Juan. Al menos como único respaldo yo le veo más desventajas que ventajas.Pero es fantástico como complemento a un respaldo arrancable. (Y bueno , en lo suyo es genia)

Y es que hay backup perfecto. Lo más eficiente, en mi experiencia (y en la opinión de expertos) es la combinación de TM y Superduper, aunque en mi caso directammente me he restringido en casa al clon con SuperDuper. Una copia perfecta arrancable, actualizable y programable es lo que necesito. Por cierto, muy superior a CCC y a lo que se puede hacer desde el propio OSX.

 

Bueno, y si es necesario, una copia periódica en remoto, claro.

Link to post
Share on other sites

Es que no decía que fueran superiores :D, sino que, como medida de seguridad de última instancia, quería tener una copia en papel. De hecho, lo que quería saber, originalmente, era si esos programas pueden generártela, porque no encuentro cómo hacerlo desde el llavero de OS X.

Link to post
Share on other sites

Con 1Password desde luego. Y mucho más

http://help.agilebits.com/1Password3/away_from_mac.html

Accessing Your Data While Away from Your Mac

While we all love our Macs, the cold reality is sometimes we have to use something else. Luckily you can still access your 1Password data even when you’re not sitting in front of your Mac.

Take Your Data With You

There are several ways you can take your 1Password data with you so you always have access to your information:

If you have an iPhone, you can set up automatic syncing with Dropbox.

You can use 1PasswordAnywhere to decrypt and view your Agile Keychain if you can access it on Dropbox or store a copy on a USB flash drive

You can export your 1Password data as an encrypted web page (File > Export All) that can be opened with a password using Firefox on Windows or Linux

You can print all your data, or better yet, save the printed data as a password-protected PDF and take it with you on a USB flash drive

Strong Passwords Are Optional

1Password generates strong passwords that are impossible to remember. This is great for security but it can be an issue if you travel without your Mac/1Password for Mac. Although we highly recommend using strong, randomly generated passwords, they are optional and can be avoided on certain sites that you need to be able to log into without any aid.

Link to post
Share on other sites

Hablando del llavero: yo supongo que la principal razón por la que la gente no se atreve a soltarse el pelo con más contraseña, e inrrecordables de cabeza, es el temor a que el disco duro (y la inexistente salvaguardia :D) casque y las pierdas todas.

 

Obviamente, lo más o menos a prueba de balas sería poder imprimir todo el llavero y esconderlo bajo una baldosa :P, pero no veo ninguna función que lo permita. Vale, el programa exporta algunos formatos raretes, pero no texto mondo y lirondo… ¿Hay alguna manera de lograrlo?

 

Yo llevo utilizando 1Password desde hace una semana (aún en la versión de prueba de 30 días). Y aunque uso Dropbox (mezclado con algunas acciones de carpeta) para guardar copias de seguridad y hago copia de TimeMachine más o menos una vez al día, el mayor problema que veo es que no veo la manera fácil de acceder a las contraseñas desde otro ordenador.

 

Si por la razón que sea tengo que acceder al correo en el ordenador de un compañero / amigo, qué solución me dáis?

 

Lo recomendable es tener también la versión móvil para iPhone/iPod/iPad y poder consultar tus claves desde ellos.

Link to post
Share on other sites

Lo recomendable es tener también la versión móvil para iPhone/iPod/iPad y poder consultar tus claves desde ellos.

 

En mi caso no tengo ninguno de esos dispositivos.

Imagínate que tengo que ir a casa de un amigo y allí por la razón que sea tengo que entrar en el correo electrónico. Cuáles son mis opciones?

 

Quizá se me pase algo, pero me da la sensación de que ese es el verdadero punto débil.

 

EDITO:

Con 1Password desde luego. Y mucho más

http://help.agilebit...y_from_mac.html

Accessing Your Data While Away from Your Mac

While we all love our Macs, the cold reality is sometimes we have to use something else. Luckily you can still access your 1Password data even when you're not sitting in front of your Mac.

Take Your Data With You

There are several ways you can take your 1Password data with you so you always have access to your information:

If you have an iPhone, you can set up automatic syncing with Dropbox.

You can use 1PasswordAnywhere to decrypt and view your Agile Keychain if you can access it on Dropbox or store a copy on a USB flash drive

You can export your 1Password data as an encrypted web page (File > Export All) that can be opened with a password using Firefox on Windows or Linux

You can print all your data, or better yet, save the printed data as a password-protected PDF and take it with you on a USB flash drive

Strong Passwords Are Optional

1Password generates strong passwords that are impossible to remember. This is great for security but it can be an issue if you travel without your Mac/1Password for Mac. Although we highly recommend using strong, randomly generated passwords, they are optional and can be avoided on certain sites that you need to be able to log into without any aid.

 

 

 

No sé si iba para mí (aunque supongo), pero responde absolutamente a mi pregunta. Muchas gracias por el link. Retiro todo lo dicho, ahora todo tiene sentido, y veo que hay varias maneras.

 

Ahora sólo me faltaría automatizar de alguna manera que exportase a .pdf con cierta contraseña.

Edited by YoBlanco
Link to post
Share on other sites

Iba tanto para tí como para Juan. Ambos preguntabais por esas posibilidades de 1Password .

Por cierto que a mí me sonaba que se podía hacer pero gracias a mirarlo he aprendido los métodos exactos así que gracias a tí (y a Juan) :)

Link to post
Share on other sites

Y rápidamente me surge la primera pregunta.

 

Hasta qué punto es seguro guardar en un .pdf con contraseña? Con la inmensa cantidad de aplicaciones que se ven por ahí para quitarles la constraseña a los .pdfs, no sé si serán muchos bulos o qué, pero vamos, ojalá sean mentira.

Qué es más seguro un .pdf con contraseña (creado desde la utilidad de imprimir del propio Mac) o una imagen .dmg (con el .pdf dentro) encriptada con la misma contraseña (el problema de esto es que no es tan universal, no se puede abrir en un ordenador con Windows... )?

Link to post
Share on other sites
Qué es más seguro un .pdf con contraseña (creado desde la utilidad de imprimir del propio Mac) o una imagen .dmg (con el .pdf dentro)

Una imagen dmg encriptada con un archivo de texto plano dentro para las contraseñas es más que suficiente. La encriptación es AES de 256bits, lo que según leo por internet es seguro a día de hoy. Quizás deberías preocuparte si te investiga la NSA con máxima prioridad (no lo sé), pero para guardar tus claves intrascendentes cara a la seguridad nacional me parece sobradamente seguro. No creo que nadie "de la calle" pueda reventarlo.

 

Yo lo tengo así, pero claro, sólo accedo a él desde mis Mac, así que no necesito soporte multiplataforma ni nada de eso.

Link to post
Share on other sites

No has leído mi mensaje justo después del tuyo? :) El 100% de las veces que he necesitado quitar la contraseña a un PDF lo he hecho en una fracción de segundo. No es un sistema seguro para almacenar claves ni nada importante.

Link to post
Share on other sites

Y que yo sepa con Utilidad de discos se pueden generar ISOS. De hecho si a un DMG le cambias la extensión a ISO yo creo que se abre. Pero no tengo Windows, no sé.

 

Siempre que el formato del DMG sea FAT32, sí, se abre.

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.